Par une décision du 23 décembre 2025 (n° 492830), le Conseil d’État statue sur le recours d’Amazon France Logistique contre la délibération SAN-2023-021 du 27 décembre 2023 par laquelle la formation restreinte de la CNIL avait prononcé une amende administrative de 32 millions d’euros, assortie d’une mesure de publicité. La sanction faisait suite à des contrôles menés en novembre 2019 dans des locaux administratifs et deux entrepôts, puis à des échanges contradictoires.

La CNIL avait retenu plusieurs manquements au fondement de licéité (article 6, §1, f) RGPD – intérêt légitime), plusieurs manquements au principe de minimisation (article 5, §1, c) RGPD), deux manquements à l’information (articles 12 et 13 RGPD) et un manquement à la sécurité (article 32 RGPD). Devant le Conseil d’État, Amazon demandait principalement l’annulation de la décision de sanction en tant qu’elle retenait des manquements aux articles 5 et 6 et prononçait une sanction en conséquence, subsidiairement une réduction de l’amende, et sollicitait un renvoi préjudiciel à la CJUE sur l’interprétation du RGPD.

Le Conseil d’État commence par cadrer l’examen des griefs relatifs à l’article 6, §1, f) RGPD. Il écarte d’abord l’argument selon lequel la CNIL aurait considéré les salariés et intérimaires comme « personnes vulnérables » au sens du considérant 75 du RGPD pour opérer la mise en balance entre intérêt légitime et droits des personnes : il constate que, dans la délibération, la référence à une vulnérabilité n’intervenait que pour justifier la publicité de la sanction, et non pour caractériser le manquement servant de base à l’amende.

Il examine ensuite trois indicateurs de suivi de l’activité des salariés, que la CNIL avait jugés disproportionnés et donc dépourvus de base juridique au titre de l’intérêt légitime. S’agissant d’abord de l’indicateur « stow machine gun », la CNIL avait vu un dispositif particulièrement intrusif, assimilable à une surveillance continue « à la seconde » des gestes et délais sur les tâches « directes », allant au-delà des attentes raisonnables des salariés et portant atteinte à la vie privée et aux conditions de travail respectueuses de la santé et de la sécurité.

Le Conseil d’État réévalue les faits : l’indicateur n’est activé que pour une tâche spécifique de rangement (l’une des quatre tâches « directes »), et ne se déclenche que lorsque moins de 1,25 seconde sépare deux lectures de codes-barres, afin de signaler une succession anormalement rapide de gestes pouvant révéler une erreur de manipulation ou de rangement. Dans cette configuration, il juge que l’indicateur ne peut pas être regardé comme imposant des contraintes de vitesse portant atteinte aux droits des salariés, qu’il demeure compatible avec ce qu’un employeur logistique peut raisonnablement attendre, et qu’il sert un intérêt légitime reconnu (qualité et sécurité des processus). Il en déduit une erreur d’appréciation de la CNIL : le traitement en temps réel de cet indicateur n’est pas dépourvu de base juridique au titre de l’article 6, §1, f).

Le Conseil d’État procède de manière analogue pour l’indicateur « idle time » (temps d’inactivité), que la CNIL critiquait notamment pour des finalités de gestion des stocks/commandes, de support immédiat au salarié, de contrôle du temps de travail, de formation et d’évaluation. Il relève que cet indicateur ne se déclenche qu’au-delà de dix minutes consécutives d’inactivité du scanner portatif, qu’il n’est pas émis pour des inactivités plus courtes, même répétées, et qu’il n’a pas vocation à encadrer les pauses légales ou conventionnelles. Le Conseil d’État admet que l’outil peut avoir un effet sur la sphère personnelle, car un salarié peut être amené à expliquer certaines interruptions (parfois liées à sa vie privée), mais estime que, compte tenu du seuil de déclenchement et des finalités invoquées, l’atteinte n’est pas excessive. Là encore, il retient une erreur d’appréciation : pas de manquement à l’article 6, §1, f) sur ce point.

Enfin, pour l’indicateur « temps de latence », mesurant de l’inactivité en début et fin de journée et autour des périodes de pause, le Conseil d’État insiste sur le fait qu’il n’est traité que pendant une durée limitée immédiatement avant ou après les pauses, périodes où les salariés peuvent répondre à des impératifs personnels. Il juge qu’il ne porte pas une atteinte excessive à la vie privée ni aux conditions de travail, et réforme également la délibération en tant qu’elle y voyait une absence de base légale pour la gestion des stocks et des commandes.

L’issue sur l’article 6 est donc nette : les trois traitements en temps réel précités ne peuvent être qualifiés de traitements disproportionnés dépourvus de fondement au titre de l’intérêt légitime, contrairement à l’analyse de la CNIL.

Le Conseil d’État examine ensuite les manquements au principe de minimisation (article 5, §1, c) RGPD) tels que retenus par la CNIL, centrés sur la conservation, de manière indifférenciée, d’un ensemble d’indicateurs de qualité et de productivité pendant 31 jours. Les finalités invoquées par Amazon étaient notamment la réaffectation et le conseil/accompagnement des salariés, la planification du travail, et l’établissement de rapports hebdomadaires de performance incluant des statistiques de qualité/productivité ainsi que des données brutes relatives à des erreurs qualité.

Le Conseil d’État rappelle la logique de responsabilité (« accountability ») : il appartient au responsable de traitement de démontrer la nécessité des données et de la durée de conservation au regard des finalités. Il constate qu’Amazon n’établit pas la nécessité, pour ces différentes finalités, de conserver chacun des indicateurs litigieux pendant une durée aussi longue de 31 jours, et valide l’analyse de disproportion portant à la fois sur la nature, le nombre et le niveau très élevé de précision des données conservées, ainsi que sur la durée. Il ajoute un point méthodologique important : dans le contrôle de la minimisation, la CNIL n’était pas tenue de rechercher si un traitement moins volumineux ou sur une durée plus courte aurait été « aussi efficace » pour l’entreprise ; la charge de la démonstration de la nécessité pèse sur le responsable. Le manquement à l’article 5 est donc confirmé.

Sur la sanction, le Conseil d’État rappelle le cadre applicable : l’article 20, IV, 7° de la loi « Informatique et Libertés » renvoie aux critères de l’article 83 RGPD, et les amendes doivent être effectives, proportionnées et dissuasives, dans les plafonds prévus (notamment pour les manquements aux articles 5 et 6). Il statue d’abord sur la motivation : la formation restreinte devait énoncer les considérations de droit et de fait fondant sa décision, sans qu’un texte impose de détailler une « formule de calcul » chiffrée du montant ; la motivation n’était donc pas insuffisante du seul fait de l’absence d’explicitation arithmétique. Il écarte aussi le grief d’ambiguïté : lorsque seuls certains traitements ont été sanctionnés, la délibération indique que l’amende se fonde, pour les finalités de suivi/évaluation, uniquement sur ceux expressément condamnés.

Le Conseil d’État traite ensuite la condition de faute pour infliger une amende, en se référant à l’interprétation de la CJUE : l’imposition d’une amende suppose une violation « fautive » (délibérée ou par négligence), et un responsable peut être sanctionné s’il ne pouvait ignorer le caractère infractionnel de son comportement, même sans conscience explicite d’enfreindre le RGPD. Il juge que, compte tenu du volume important de données conservées et de l’incapacité d’Amazon à démontrer la nécessité de la durée de 31 jours, la CNIL pouvait caractériser une négligence grave à l’égard d’un principe fondamental (minimisation), et que la société ne pouvait ignorer le caractère infractionnel. Il précise enfin que le caractère « inédit » des traitements n’a pas été utilisé par la CNIL comme un facteur aggravant autonome, mais seulement au titre de l’appréciation de la nature, gravité et durée au sens de l’article 83.

Vient alors l’étape de la réformation du montant de la sanction.

Le Conseil d’État tire ici les conséquences de ce qu’il vient de juger sur l’article 6 : les traitements en temps réel des indicateurs « stow machine gun », « idle time » et « temps de latence » ne constituent pas des manquements au fondement de licéité. En revanche, le manquement de minimisation lié à la conservation indifférenciée sur 31 jours est confirmé. Il relève aussi qu’Amazon ne contestait pas d’autres manquements retenus par la CNIL, qui restent donc acquis dans le litige : défaut d’information des intérimaires sur la politique de confidentialité RH (articles 12 et 13), insuffisance d’information sur la vidéosurveillance dans deux entrepôts (article 13), et insuffisances de sécurisation de l’accès au logiciel de vidéosurveillance pour certaines caméras (article 32, avec deux manquements).

Compte tenu de cet ensemble, mais en l’absence des manquements à l’article 6 qui avaient contribué à fonder le niveau de la sanction initiale, le Conseil d’État ramène l’amende de 32 millions à 15 millions d’euros, en estimant qu’il s’agit d’une « juste appréciation » des circonstances. Il rejette la demande de renvoi préjudiciel à la CJUE, faute de doute raisonnable sur l’interprétation des règles en cause.

Enfin, le Conseil d’État tire les conséquences de la réformation sur la publicité : la décision, qui modifie le montant, implique que la CNIL assure la publication de la décision du Conseil d’État selon les mêmes modalités que celles retenues pour la délibération initiale. Il met à la charge de la CNIL 3 000 euros au titre des frais irrépétibles, et rejette le surplus des conclusions d’Amazon.

La portée pratique de l’arrêt tient donc à un double mouvement : d’une part, un contrôle concret de proportionnalité au stade de l’intérêt légitime, avec une lecture factuelle fine des conditions de déclenchement et de la finalité opérationnelle d’indicateurs en temps réel en environnement logistique ; d’autre part, une confirmation exigeante de l’« accountability » en matière de minimisation et de durées de conservation, l’entreprise devant démontrer la nécessité de la conservation pour chaque finalité invoquée.

(Conseil d’État 492830, lecture du 23 décembre 2025, ECLI:FR:CECHR:2025:492830.20251223 ; https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2025-12-23/492830)

Me Philippe Ehrenström, avocat, LLM, CAS en Droit et Intelligence Artificielle, CAS en Protection des données